Bendrasis duomenų apsaugos reglamentas arba sutrumpintai „BDAR” neretai minimas kaip dokumentas, kuris draudžia įmonėms ir žmonėms tvarkyti (gauti, saugoti, naudoti ir pan.) asmens duomenis. Ar tai tiesa? Trumpas atsakymas – ne, BDAR, nedraudžia tvarkyti asmens duomenų. Plačiau skaitykite šiame straipsnyje.

Kodėl buvo priimtas BDAR?

Skaitmeninių technologinių, ypač kompiuterinių tinklų (Interneto ir kt.), sukūrimas bei paplitimas XX amžiaus paskutiniame dešimtmetyje suformavo situaciją, kai didžiuliai asmens duomenų kiekiai galėjo būti nukopijuoti ir išplatinti vos per keletą minučių. Siekiant užkirsti tam kelią, dar 1995 metais Europos Sąjungoje (ES) buvo priimta Asmens duomenų apsaugos direktyva, kurios tikslas – paskatinti ir įpareigoti ES nares priimti nacionalinius teisės aktus, kurie padėtų užtikrinti asmens duomenų saugumą ir apsaugotų juos nuo neteisėto naudojimo.

Įgyvendindamos direktyvos nuostatas, ES šalys-narės priėmė atitinkamus nacionalinius įstatymus. Lietuvoje toks įstatymas, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas, buvo priimtas dar 1996 metais, t. y., iki Lietuva tapo ES nare.

Asmens duomenų apsauga besirūpinančių nacionalinių įstatymų priėmimas tapo rimtu žingsniu, kuris padėjo pamatus dabartiniam duomenų apsaugos teisiniam režimui.

Tačiau toks apsaugos modelis turėjo vieną didelį trūkumą – kiekviena ES narė duomenų apsaugos klausimu rūpinosi ne vienodai, o ir reguliavimas buvo fragmentiškas ir skyrėsi. Direktyva nėra tiesiogiai taikomas ES teisės aktas. Jos nuostatos perkeliamos į nacionalinę teisę išleidžiant vietinį teisės aktą. Tai sąlygojo, kad vienose ES narėse asmens duomenys buvo apsaugoti geriau, nei kitose.

Skirtingas reguliavimas trukdė vystyti komercinius santykius tarp skirtingų ES narių. Nepamirškime, kad ES – tai visų pirma ekonominis blokas, sukūrtas palengvinti prekybą ir paslaugų teikimą tarp ES bloko narių. Vienodas teisinis reguliavimas – tai būtina prielaida laisvam prekių, žmonių ir kapitalo judėjimui.

Mezgant prekybinius ryšius, paprastai yra būtina apsikeisti informacija, kuri laikoma asmens duomenimis (pvz., vardai, pavardės, kontaktai ir pan.). Jeigu, pavyzdžiui, Vokietijoje reikalavimai duomenų apsikeitimui yra mažesni, nei, tarkime, Lietuvoje, tai sukelia papildomų trukdžių ekonominių santykių plėtojimui tarp Vokietijos ir Lietuvos. Verslams reikia aiškintis tokius reikalavimus, rengti skirtingus dokumentus ir pan.

ES, siekdama, kad asmens duomenų apsauga nebūtų kliūtimi, trukdančia prekybai tarp ES narių, parengė bei priėmė BDAR, kuris įsigaliojo 2018 metais. Pagrindinis skirtumas tarp iki BDAR galiojusio teisinio režimo – BDAR yra reglamentas, tiesiogiai taikomas ES teisės aktas. ES priėmus reglamentą, visos šalys-narės ir visi jų fiziniai bei juridiniai asmenys privalo juo vadovautis. Jokių papildomų nacionalinių įstatymų priimti nereikia.

Po BDAR priėmimo, esminiai reikalavimai duomenų judėjimui tarp ES šalių-narių tapo beveik kokiais pačiais. „Beveik”, nes nacionalinės teisės įtaka niekur nedingo. Ji ir toliau vaidina savo vaidmenį nustatant ar gali tam tikri duomenys būti naudojami ar ne.

Pavyzdžiui, ne BDAR, o nacionalinė teisė nustato kokie asmens duomenys gali būti gaunami iš kandidatų siekiančių įsidarbinti. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas ir Lietuvos Respublikos darbo kodeksas įtvirtina, kad pažymos apie kandidato teistumą/neteistumą gali būti prašomos pateikti tik tais atvejais, kai tą daryti įpareigoja įstatymas. Jeigu įstatymas prievolės rinkti tokią informaciją nenustato, darbdavys neturi teisės iš kandidatų gauti tokios informacijos. Pažymėtina, kad kitose ES narėse situacija yra priešinga. Darbdavys gali prašyti tokios informacijos visais atvejais.

BDAR nustato duomenų tvarkymo sąlygas, o ne draudimą tvarkyti duomenis

BDAR nustato, kad asmens duomenys gali būti tvarkomi, tačiau tik, jeigu juos tvarkyti ketinama siekiant teisėtų tikslų ir teisėtais pagrindais, o būtent:

1. duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi;
2. tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;
3. tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;
4. tvarkyti duomenis būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus;
5. tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;
6. tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės.

Tuo būdu, jeigu įmonė nori rinkti asmens duomenis, prieš tą darydama, ji turi atlikti analizę ir nustatyti ar egzistuoja teisėtas pagrindas tą daryti.

Jeigu pagrindas egzistuoja, tada įmonė turi nuspręsti kiek asmens duomenų jai reikia norimam tikslui pasiekti. BDAR nustato minimalaus duomenų kiekio tvarkymo principą. Turi būti renkama kuo galima mažiau asmens duomenų. Pavyzdžiui, jeigu įmonė ketina siųsti elektroninius naujienlaiškius, tai tikėtina, kad jai turi pakakti tik gavėjo el. pašto adreso. Visi kiti duomenys (vardas, telefono numeris, gimimo data ir pan.) vertintini kaip pertekliniai ir negali būti renkami.

Taip pat įmonė turi nustatyti protingą terminą asmens duomenims saugoti. Pasibaigus nustatytam terminui, duomenys turi būti ištrinami (sunaikinami). BDAR nenustato konkrečių saugojimo terminų, o tik įtvirtina taisyklę, kad terminas turi būti kuo galima trumpesnis.

Pažymėtina, kad BDAR – tai tik esminius duomenų tvarkymo principus nustatantis dokumentas. BDAR yra gana abstraktus savo turiniu. Specialių žinių ir patirties neturintis asmuo niekaip nesugebės jo tinkamai taikyti, nes norint tinkamai suprasti BDAR nuostatas, reikia būti susipažinus su institucijų, kurios aiškina BDAR, rekomendacijomis bei teismų praktika.

Tokiomis institucijomis yra:

• Europos duomenų apsaugos valdyba (EDAV);
• Nacionalinės duomenų apsaugos institucijos. Pavyzdžiui, Valstybinė duomenų apsaugos inspekcija (VDAI).

Asmens duomenų perdavimas į trečiąsias valstybes

BDAR sukūrė vieningą teisinę asmens duomenų reguliavimo erdvę, kuri apima ES valstybes nares bei Islandiją, Lichtenšteiną ir Norvegiją. Perduodant ir gaunat asmens duomenis šioje erdvėje, galima būti tikram, kad kiekvienoje valstybėje galioja tokie patys esminiai duomenų tvarkymo principai ir taisyklės, kas gerokai palengvina duomenų judėjimą.

Jeigu duomenis ketinama perduoti į trečiąsias šalis, būtina įsitikinti, kad jose asmens duomenys bus apsaugoti ne prasčiau nei ES. Trečiosiomis šalimis laikomos visos valstybės, kurios nėra Europos Sąjungos (ES) ar Europos ekonominės erdvės (EEE) valstybėmis.

Pažymėtina, kad asmens duomenų perdavimas į kitas demokratines valstybes, tokias kaip JAV (susiję: Supaprastintas ES asmens duomenų perdavimas į JAV pagal naują 2023 m. programą), gali būti gana komplikuotas procesas, reikalaujantis nemažai papildomo darbo (dokumentuoto įvertinimo ar asmens duomenys bus apsaugoti taip pat gerai kaip ir šalyse, kuriose taikomas BDAR). BDAR nustatė itin aukštus asmens duomenų tvarkymo standartus. Toli gražu ne visos demokratinės (apie diktatūras nėra net ko kalbėti) atitinka šiuos standartus ir asmens duomenis saugo taip pat kruopščiai kaip ir ES narės.

_{___________________}

^{Nuotrauka iš Pixabay.}